有研究人員最近發(fā)現(xiàn)了一種竊取AWS憑證的加密木馬的傳播,這是研究人員發(fā)現(xiàn)的第一個包含AWS特定功能的木馬。該木馬還竊取本地憑證,并掃描互聯(lián)網(wǎng)上錯誤配置的Docker平臺。我們已經(jīng)看到了自稱“TeamTNT”的攻擊者,他們攻擊了許多Docker和Kubernetes系統(tǒng)。
這些攻擊表明了一種更廣泛的趨勢,隨著組織將其計算資源遷移到云和Docker環(huán)境中,我們看到攻擊者也將攻擊的目標延伸到了那里。
AWS憑證盜竊
AWS CLI將憑證存儲在?/ .aws / credentials的未加密文件中,并將其他配置詳細信息存儲在?/ .aws / config的文件中。
竊取AWS憑證的代碼相對簡單,在執(zhí)行時,它將默認的AWS .credentials和.config文件上傳到攻擊者服務(wù)器sayhi.bplace[.]net:
Curl用于將AWS憑證發(fā)送到TeamTNT的服務(wù)器,后者以消息“THX”響應(yīng)。
攻擊者將CanaryTokens.org創(chuàng)建的憑證發(fā)送給TeamTNT,但是還沒有看到它們被使用。這表明TeamTNT要么手動評估和使用憑證,要么他們創(chuàng)建的任何自動化當前都沒有發(fā)揮作用。
大多數(shù)密碼挖掘木馬是以前的木馬的變體,也就是開發(fā)者復(fù)制和粘貼競爭對手的代碼。TeamTNT的木馬病毒包含從另一種名為Kinsing的木馬病毒復(fù)制的代碼,該木馬是用來阻止阿里巴巴云安全工具的。
重新使用代碼來阻止阿里巴巴云安全工具
反過來,我們很可能會看到其他木馬也開始復(fù)制竊取AWS憑證文件的能力。
Docker
該木馬還包含使用masscan掃描開放的Docker API的代碼,然后啟動docker映像并自行安裝。
掃描開放的Docker API,然后將木馬安裝到一個新的Docker中。
漏洞利用
木馬部署XMRig挖掘工具來挖掘門羅幣并為攻擊者生成現(xiàn)金,攻擊者使用的其中一個礦池提供了有關(guān)蠕蟲已入侵的系統(tǒng)的詳細信息。其中列出了119個被攻擊的系統(tǒng),其中一些可以被識別為Kubernetes Clusters和Jenkins Build Server。
到目前為止,研究人員已經(jīng)看到與這些最新攻擊相關(guān)的兩個不同的Monero錢包,它們?yōu)門eamTNT贏得了大約3 XMR。這僅相當于約300美元,但這只是其中一個示例。
該木馬還部署了一些公開的惡意軟件和附帶有攻擊性的安全工具:
punk.py:SSH利用工具
punk.py是一種利用后的工具,旨在幫助網(wǎng)絡(luò)從受感染的unix盒中轉(zhuǎn)移。 它從UNIX系統(tǒng)中收集用戶名,ssh密鑰和已知主機,然后嘗試通過ssh連接到找到的所有組合。 編寫punk.py以便同時在標準python2和python3解釋器上工作。
日志清理工具
Diamorphine Rootkit
Diamorphine是Linux Kernels 2.6.x / 3.x / 4.x的LKM rootkit,其特征是:加載后,模塊開始不可見。通過發(fā)送信號31隱藏/取消隱藏任何進程;發(fā)送信號63(到任何PID)使模塊變?yōu)椋ú豢梢姡?;發(fā)送信號64(到任何pid)使給定的用戶成為root;以MAGIC_PREFIX開頭的文件或目錄不可見;
Tsunami IRC Backdoor,Tsunami是非常著名的LinuxELF木馬,一個簡單的IRCbot,用于發(fā)動DDoS攻擊。受影響的LinuxISO安裝了完整的操作系統(tǒng)(含有網(wǎng)絡(luò)中繼聊天(IRC)后門Tsunami),所以黑客便可以通過IRC服務(wù)器訪問了系統(tǒng)。
TeamTNT
該木馬包含了大量的引用“TeamTNT”和域teamtnt[.]red。這個域名托管著惡意軟件,而主頁的標題“TeamTNT RedTeamPentesting”是對公共惡意軟件沙箱的奇怪引用:
總結(jié)
雖然這些攻擊不是特別復(fù)雜,但部署加密木馬的眾多組織已經(jīng)成功地感染了大量的商業(yè)系統(tǒng)。
以下是一些緩解建議:
1.識別哪些系統(tǒng)存儲AWS憑證文件,如果不需要就刪除它們,通常會發(fā)現(xiàn)開發(fā)憑證被意外遺留在運營系統(tǒng)中。
2.使用防火墻規(guī)則來限制對Docker api的訪問,我們強烈建議為你的防火墻規(guī)則集使用白名單方法。
3.查看網(wǎng)絡(luò)流量以查找與礦池的任何連接,或使用Stratum 礦池協(xié)議。當前的主流挖礦協(xié)議是stratum,以前還有GBT(getblocktemplate)、getwork、getwork with rollntime extension等幾種協(xié)議,礦機與礦池軟件之間的通訊協(xié)議是stratum,而礦池軟件與錢包之間的通訊是bitcoinrpc接口,stratum是JSON為數(shù)據(jù)格式。
檢查通過HTTP發(fā)送AWS憑證文件的所有連接。
Yara 規(guī)則